Zasebna podjetja, ki upravljajo sisteme nacionalnega pomena, morajo predati informacije o omrežjih in sistemih, če to zahtevajo notranje zadeve.
Ministrstvo za notranje zadeve je podrobneje opredelilo nekatere pobude iz nedavno objavljena strategija kibernetske varnosti 2020 v dokumentu za razpravo, objavljenem v sredo.
Ne glede na to, kaj bo vlada sama naredila za povečanje svoje kibernetske zmogljivosti, se časopis namesto tega osredotoča na kritično infrastrukturo v celotnem gospodarstvu in izrecno navaja seznam sektorji, vključno z: bančništvom in financami, komunikacijami, operaterji podatkov in oblakov, obrambno industrijo, izobraževanjem in raziskavami, energijo, hrano in živili, zdravjem, vesoljem, prometom in vodo.
Med operaterji, za katere velja, da imajo kritično infrastrukturo, bo podmnožica, ki bo regulirana s pozitivnim sektorjem varnostne obveznosti, ki jih je treba izpolniti, in še večji nabor kibernetskih zahtev za "subjekte, ki poganjajo nacionalne pomembnost". Notranje zadeve so povedale, da bodo sodelovale z industrijo, da bi določile, katere subjekte je treba kam kategorizirati.
Vsi subjekti kritične infrastrukture bodo imeli možnost, da pokličejo vlado za pomoč pri odzivu na napade na avstralske sisteme.
"Glavni cilj predlaganega okrepljenega okvira je zaščititi kritično infrastrukturo Avstralije pred vsemi nevarnosti, vključno z dinamičnimi in potencialno katastrofalnimi kaskadnimi grožnjami, ki jih omogočajo kibernetski napadi," države.
V skladu s pozitivno varnostno obveznostjo bodo morala podjetja za prepoznavanje in razumevanje tveganj, tudi v svoji dobavni verigi, „ubrati pristop, ki temelji na vseh nevarnostih“. Prav tako bodo morali ublažiti ta tveganja, imeti vzpostavljene "trdne postopke" za čimprejšnje okrevanje po napadu in preizkusiti njihovo skladnost.
Ključni pri tem pristopu bodo sektorski regulatorji, ki bodo prevzeli kibernetske odgovornosti. Notranje zadeve je dejal, da ne želi podvajati obstoječih regulativnih okvirov kot regulatorji v sektorji, kot so bančništvo, finance, letalstvo in komunikacije, so "že opremljeni" za nadzor in pomoč.
"Zavedamo se, da bo izvajanje teh reform povzročilo regulativno obremenitev," je dejal oddelek.
"Sodelovali bomo s subjekti kritične infrastrukture, da zagotovimo, da se te reforme razvijejo in izvajajo na način, ki zagotavlja ustrezne rezultate brez nalaganje nepotrebnega ali nesorazmernega regulativnega bremena v skladu s smernicami ministrstva predsednika vlade in kabineta za najboljše prakse Uredba."
Tisti, za katere velja uredba, bodo odgovorni za "sodelovanje z regulatorjem", da se ugotovijo tveganja in so vzpostavljene ublažitve, sorazmerne s tveganjem, "ob upoštevanju poslovnih, družbenih in gospodarskih vplivi«.
Regulatorji bodo lahko izdajali "razumne zahteve" za informacije, dostop do inšpekcijskih in revizijskih pooblastil; izdati varnostna obvestila, ki bi jih subjekti "morali upoštevati in dokazati pri svojem poročanju"; zagotoviti smernice o tem, kako so lahko subjekti skladni; izda navodilo v primeru "pomembnih vprašanj nacionalne varnosti, ki jih ni mogoče obravnavati z drugimi sredstvi"; imajo tudi možnost izdajanja glob in kazni.
Kot je navedeno v strategiji, objavljeni prejšnji teden, želi vlada vzpostaviti platformo za delitev groženj med vlado in industrijo. Notranje zadeve so to informacijo v dokumentu za razpravo poimenovali "slika nacionalne grožnje v skoraj realnem času". izvirajo iz industrije, poročanja o incidentih, odprtokodnih informacij, vladnih obveščevalnih služb in mednarodnih viri.
Poglej tudi: Razočaranje nad novo avstralsko strategijo kibernetske varnosti
Sprva želi vlada zahtevati informacije od subjektov, vendar se bo to razširilo na predpisujoče in obvezno.
»Dolgoročno bodo lastniki in upravljavci sistemov državnega pomena zavezanci (po noveli oz. Act), da bi zagotovili informacije o omrežjih in sistemih, ki bi prispevali k tej sliki groženj, če je to zahtevano,« piše v časopisu rekel.
"Ko je zahteva izdana, bo vsebovala obliko, v kateri so zahtevani podatki (do in vključno s skoraj realnim časom), kot tudi določen časovni okvir za sodelovanje z vlado pri zagotavljanju informacije. Zaenkrat ne predvidevamo, da bodo vsi lastniki in upravljavci sistemov nacionalnega pomena zaprošeni za posredovanje tovrstnih podatkov.«
Za sisteme nacionalnega pomena bodo nadalje izvedene številne pripravljalne aktivnosti, od neodvisnih kibernetskih ocen, skeniranje ranljivosti, vlada pa sodeluje s subjekti, da "odkrijejo in izolirajo grožnje, ki so se izognile obstoječi varnosti rešitve«.
Poleg tega si Ministrstvo za notranje zadeve želi ustvariti priročnike za odziv na določene scenarije napadov.
»S tem bodo lastniki in upravljavci sistemov državnega pomena dobili pomembne informacije o tem, kaj storiti« in »koga poklicati«, da bodo svoje podjetje (in stranke) zaščitili pred kibernetskim napadom,« časopis rekel.
"Razvoj teh priročnikov bo zahteval partnerstvo med vlado in posameznimi subjekti, da se zagotovi, da so ureditve prilagojene potrebam vsakega subjekta in jih je mogoče aktivirati 24 ur na dan, 7 dni v tednu. To bo zagotovilo gotovost lastnikom in upravljavcem sistemov nacionalnega pomena z začrtanimi vlogami in odgovornosti v primeru pomembnega incidenta, zlasti ko kibernetski napad presega njihovo odgovornost zmogljivost."
Če bi prišlo do napada na kritično infrastrukturo, je ministrstvo za notranje zadeve dejalo, da bi lahko bila vpletena vlada in če bi bilo tako bo subjektom zagotovil "imuniteto za izvajanje ublažitev, ki bi jih sicer lahko odprle za civilno obleka".
"Subjekti kritične infrastrukture se lahko soočijo s situacijami, ko obstaja neposredna kibernetska grožnja ali incident, ki bi lahko pomembno vplivajo na avstralsko gospodarstvo, varnost ali suverenost in grožnjo so v okviru svojih zmožnosti obravnavati," Domov Zadeve rekel.
"V teh primerih predlagamo, da lahko vlada subjektom zagotovi razumna, sorazmerna in časovno občutljiva navodila, da se zagotovi ukrepanje za zmanjšanje vpliva. Subjekti lahko tudi zahtevajo, da vlada izda takšno navodilo, s čimer jim zagotovi pravno pooblastilo za izvajanje vseh potrebnih ukrepov.
"Subjekte je treba pooblastiti, da sprejmejo potrebne, preventivne in blažilne ukrepe proti pomembnim grožnjam. Vlada priznava, da subjekti potrebujejo ustrezno imuniteto, da zagotovijo, da niso omejeni s pomisleki glede pravnih sredstev zgolj za zaščito svojega podjetja in skupnosti."
Dokument je izrecno izključil možnost, da bi se subjekti maščevali proti napadalcem.
"Pod nobenim pogojem ne bo subjektom naloženo ali pooblaščeno, da ukrepajo proti storilcu (vključno z 'hack backs')," je zapisano.
Dokument je predlagal nacionalni sistem za kibernetsko opozarjanje, kot bi lahko nacionalni svetovalni sistem za nevarnosti terorizma vzpostaviti in poglobiti dvosmerni program napotitve med industrijo in vlado povezave.
Rok za oddajo prispevkov je 16. september ob 17.00 AEDT, piše časopis, vendar se poletni čas začne šele 4. oktobra.
Povezana pokritost
- Z novo avstralsko strategijo kibernetske varnosti bo Canberra postala ofenzivna
- Razočaranje nad novo avstralsko strategijo kibernetske varnosti
- Singapur in Avstralija formalizirata pakt o digitalnem gospodarstvu
- Atlassian pravi, da je zakon o preprečevanju šifriranja škodil tehnološkemu ugledu Avstralije
- Odbor naleti na oviro pri preverjanju učinkovitosti kibernetske varnosti Commonwealtha
- Novi Južni Wales za izvajanje sektorske strategije kibernetske varnosti